Observando la seguridad en la red

Te traemos las últimas noticias sobre ciberseguridad y ciberataques

10 Estrategias de Seguridad Cibernética para Pymes

10 Estrategias de ciberseguridad para pequeñas empresas

Ilustración de oficinista y ciber criminal

  • La gran mayoría de las empresas no están preparadas para un ciberataque
  • La ignorancia en este tema se refleja en el uso descuidado tanto de la información personal
  • Medidas simples de las empresas les pueden brindarles seguridad a largo plazo

Un estudio reciente (Link de descarga en PDF) sobre la ciberseguridad en América Latina y el Caribe publicado por la Organización de los Estados Americanos (OEA), indica que la infraestructura de cuidado y prevención de ciberataques es deficiente en la región. El estudio indica que 22 de los 32 países analizados no tienen estrategias de seguridad cibernética. Además, 18 de los países analizados aún no han identificado los «elementos clave» en su infraestructura crítica nacional. El estudio indica además que 24 de estos países no cuentan con mecanismos de planificación y coordinación en ciberataques.

Lo anterior es aún más preocupante dado el incremento en ataques cibernéticos a nivel mundial. El incremento se da sobre todo en los sectores más críticos u vulnerables. Además, ha aumentado tanto la sofisticación de los ciberataques como la frecuencia de los mismos. De la mano de una política de ciberseguridad nacional y empresarial, está una postura personal frente al tema.

No es necedad el insistir sobre la importancia de mantener un plan de contingencia cibernética así como de adoptar mejores prácticas de seguridad cibernética. Por eso te explicamos diez estrategias de seguridad cibernética para pequeñas y medianas empresas.

1. Definir y aplicar una política de ciberseguridad

Deberás definir y documentar una política corporativa de seguridad cibernética en base a un análisis de riesgos  que abarque tus activos, así como las posibles vulnerabilidades y amenazas. Incluye un plan de ciberseguridad que contemple siempre un presupuesto determinado. Tu política deberá contemplar los riesgos identificados y las medidas a adoptar en caso de siniestro.

La contratación de un seguro de riesgos cibernéticos es una opción cada vez más utilizada en los países más desarrollados. Finalmente, has un seguimiento periódico de la implantación de tu política plan y actualízalo conforme sea necesario.

2. Asegurar y proteger los datos y la información

Documenta y mantén operativo un plan de backup o de recuperación de activos de tu empresa. Esto incluye desde tu sitio web, hasta los sistemas más complejos como tus bases de datos o sistemas internos de control.

Debes tener una relación de los activos que deben respaldarse de forma obligada, además de indicar su presencia física o virtual. Tu plan debe incluir la frecuencia de tus respaldos, responsables y periodo de tiempo que deben conservarse las copias.

3. Utilizar las redes de forma segura

Prácticamente cualquier empresa con acceso libre a Internet se encuentra vulnerable de alguna u otra manera. Los riesgos cibernéticos evolucionan día con día y la educación al respecto debería evolucionar de la misma forma.

Una forma de mantener una red interna segura es mediante un firewall así como con políticas de acceso. Incluso limitar el acceso a sitios no autorizados puede ofrecerte una barrera ante los posibles ciberataques. Habla con tu proveedor de acceso a internet para que te indique las formas de mantener segura tu red así como de la administración del acceso a redes sociales.

4. Protegerse contra el malware

Un buen porcentaje de los casos de hackeos es porque los dispositivos vulnerados no cuentan con las licencias actualizadas. Lo mismo sucede con los dispositivos móviles. Mantener tus sistemas actualizados, por más redundante que parezca, te puede dar una ventaja frente a los miles de usuarios que no se protegen.

Además deberías tener sistemas antivirus y antispyware. Tus cuentas de correo también deben tener filtros anti spam. Aunque la mayoría de las cuentas de email gratuitas cuentan con esta opción, las cuentas de correo empresariales muchas veces carecen de esta barrera o configuración, por lo que el riesgo de recibir archivos maliciosos es grande y constante.

5. Utilizar el correo electrónico de manera segura

Es importante comunicar a los empleados la importancia de tener sentido común al manejar el correo. Los emails muchas veces pueden contener archivos malintencionados que podrían abrir las puertas de tu negocio a diversos tipos de amenezas cibernéticas.

Una política interna que claramente comunique qué hacer con los correos no deseados es básica. Así como las formas de actuar frente a correos sospechosos. La gran mayoría de los hackeos usan formas de «ingeniería social» avanzadas que están diseñadas para pasar como familiares. Sin embargo, hay diversas formas de asegurarse de la certeza de un mensaje información si se sospecha de su origen.

6. Asegurar el acceso remoto y físico a sistemas y equipos

Deberás definir los tipos de acceso físico y virtual a tus sistemas. Utiliza contraseñas o barreras, así como niveles de acceso a información y equipos. Integra un plan de cambio regular de contraseñas, o mejor aún, obtén un administrador de contraseñas empresarial.

Usar un administrador de contraseñas es mucho más seguro que permitir que las contraseñas se guarden en el equipo o navegador. Aunque hay una curva de aprendizaje al implementar este tipo de servicios, el beneficio y bienestar a corto y largo plazo justifican el esfuerzo.

7. Proteger los dispositivos móviles y la información que contienen

SI vas a integrar los dispositivos móviles de los usuarios con tus sistemas, asegúrate de limitar el tipo de acceso, así como de inventariar los usuarios y perfiles. Si vas a permitir que se conecten a la red, asegúrate de que todos cumplan con los requerimientos técnicos mínimamente necesarios para ello.

En caso de que creas necesario, contrata una segunda red para asuntos personales, y usa otra red para temas empresariales. En estos tiempos es muy complejo pedirle a las personas que estén desconectadas, o que no integren sus móviles con su trabajo. Las nuevas políticas BYOD (Bring Your Own Device) garantizan conectividad a expensas de aumentar el riesgo cibernético por exposición.

8. Mantener las aplicaciones actualizadas

Lo he dicho antes y lo repito. Asegúrate de que TODOS los equipos estén actualizados SIEMPRE. Existen muchos prejuicios o quejas respecto a la frecuencia de las actualizaciones. Incluso ha habido reportes de que las actualizaciones empeoran el desempeño de algunos equipos.

Aunque hay fundamentos que soportan estas teorías, las amenazas son reales y nunca se sabe cuando podrías ser víctima de ellas por un descuido o falta de actualización en el software. Has una política que incluya el inventario de tus sistemas y dispositivos, así como la última vez que se actualizó cada uno y los responsables de actualizarlo.

9. Trazar un plan de respuesta a incidentes

Diseña, aplica, mantén y pon a prueba un sistema de incidencias. Además de ataques, incluye contingencias para garantizar la continuidad de las operaciones del negocio. Identifica los activos críticos, especifica dueños y responsables de la información, prueba tus respaldos. Incluye datos de contacto, redes sociales, teléfonos, alarmas, así como entes oficiales y no oficiales a los cuales comunicar cualquier situación cibernética.

Incluye las formas de actuar frente a un ataque, interrupción de determinados servicios clave, hasta la pérdida de información.

10. Concienciar y formar a los empleados

Comunica los riesgos, medidas, políticas y demás soluciones y propuestas frente a los ataque cibernéticos. Insiste sobre la importancia de mantener una ciber higiene así como unas ciber barreras. Incluye temas de ciberseguridad en tus planes de capacitación.

Conoce y comparte mejores prácticas en el uso de contraseñas, email, redes sociales, e información personal. Mantente al tanto respecto a las últimas noticias y nuevas amenazas cibernéticas. Has conciencia sobre la ingeniería social, phishing, ransomware, etc.

No olvides que la seguridad es primero, y la ciberseguridad la hacemos todos.

 

Referencias: 

https://www.cepyme.es/wp-content/uploads/2018/10/ciberriesgos-su-impacto-en-las-pymes-pag-indiv.pdf

https://www.hosteltur.com/109260_los-hoteles-de-baleares-ante-el-cambio-de-ciclo.html

http://unespa-web.s3.amazonaws.com/main-files/uploads/2018/10/ciberriesgos-su-impacto-en-las-pymes-pag-indiv.pdf

 

Isaul Carballar10 Estrategias de Seguridad Cibernética para Pymes